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Domaine de rinvention 

La presente invention concerne un boitier securise renfer- 
mant un clavier permettant d'introdxiire des donnees confidentielles telles 
qu'un numero d'identification personnel, destinees en particulier a un 
5 systeme de paiement electronique. 

Les circuits electroniques ont largement contribue au deve- 
loppement des societes modernes et sont utilises dans de nombreux do- 
maines de la technique. 

Ces circuits ont en particulier permis la creation et Tessor 
10 des systemes dits « de paiement electronique » qui permettent d'effectuer 
diverses transactions a partir de terminaux de paiement electronique 
equipes de claviers nximeriques en utilisant des cartes de credit. 

Or, ces systemes doivent etre securises de fa?on a proteger 
tant les clients que les commergants en evitant tout risque de transactions 
15 frauduleuses. ' . 

Dans ce but, les banques et les fabricants de cartes de ere- . 
dit attribuent a celles-ci des numeros d'identification personnels que leurs. ; 
proprietaires doivent entrer dans le clavier numerique eqiiipant les termi- % 
naxTK de paiement electronique. 
20 Apres leur introduction, les numeros d'identification ainsi*;|' 

que d'autres donnees confidentielles figurant sur les cartes de credit sont * 
cryptes dans des modules de securite prealablement a la transaction. 

Le numero d'identification personnel permet done de verifier 
que la carte de credit est bien utilisee par son veritable proprietaire, et non 
25 par un intrus ay ant trouve ou vole celle-ci. 

Pour des raisons evidentes de securite, il est essentiel 
qu'entre son introduction dans le clavier numerique d*un terminal de 
paiement electronique et son cryptage un numero d'identification person- 
nel ne soit pas accessible a des tiers msdintentionnes. 
30 II est par suite necessaire d'associer des dispositifs de pro- 

tection a ces claviers. 

Les fraudeurs font cependant preuve de plus en plus 
d'astuce pour tenter d'obtenir des donnees confidentielles et par suite la 
secvtrisation des claviers numeriques des terminaux de paiement electro- 
35 nique est de plus en plus difficile. 

A titre d'exemple, les firaudeurs peuvent : 
- visualiser la saisie d'un code confidentiel (directement ou par 
rintermediaire de systemes video) ; 
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- acceder a I'electronique du systeme, notamment en inserant dans ce- 
liai-ci une carte electronique « moucharde » ; 

- « ecouter » les emissions electromagnetiques emises par Felectronique 
du systeme poxir les correler avec les touches appuyees ; 

- voler les informations lorsqu'eUes sont frappees, par exemple en posant 
■an faux clavier au-dessus du clavier veritable, ou en r6pandant sur 
celui-ci une substance telle que de la poussiere qui laisse des traces 
sur les touches utilisees. 

Btat de la technique 

Differents moyens ont ddjd ete proposes pour tenter de se- 
curiser les claviers numeriques des terminaux de paiement electronique. 

On a a titre d'exemple deja propose de dissimuler les tou- 
ches des claviers des regards indiscrets (document WO 00/68859) ou en- 
core de changer la position des touches a chaque nouvelle utiHsation 
(document WO 98/ 275 1 8) , 

Ces differents moyens rendent plus difficile la determination 
des donnees confidentielles en regardant im utiHsateur les taper sur un 
clavier numerique. 

II a egalement deja 6t6 propose d'enfermer le clavier, son 
controleur ainsi que le module de securite associe a celui-ci dans un boi- 
tier scelle, de fagon a interdire aux fraudeurs d'avoir acces au systeme 
electronique en amont du ciyptage des donnees confidentielles introduites 
dans le clavier. 

A titre d'exemple, on a deja propose conformement au do- 
cument WO 01/92349 d'enfermer I'electronique entre le clavier et une 
plaque de verre. 

De teUes solutions s'averent cependant tres onereuses et 
particulierement difficiles a mettre en oeuvre. 

Par suite, jusqu'a ce joiir, il n'a pas ete propose de moyen 
de securisation sur et satisfaisant sur le plan economique des claviers 
numeriques des terminaux de systemes de paiement electronique. 

But de rinvention 

La presente invention a pour objet de combler cette lacune 
en proposant un boitier securise renfermant un clavier numerique congu 
de maniere a empecher les intrus de pouvoir acceder frauduleusement 
aiax donnees confidentielles introduites avant leur ciyptage par un module 
de security. 
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L'invention a en particulier pour objet de permettre de de- 
tecter un dispositif place s\ir le clavier afin de determiner les donnees 
confidentielles entrees, ou de prevenir toute alteration du systeme effec- 
tuee dans le meme but. 
5 Un autre objet de Tinvention est d'empecher toute ecoute 

des emissions electromagnetiques generees par Telectronique du systeme. 

Le boitier qui fait Tobjet de Tinvention est tout specialement 
adapte a la securisation des claviers numeriques equipant les terminaux 
de paiement des systemes de paiement electronique mais peut s'adapter a 
10 la securisation de tout systeme dans lequel des donnees confidentielles 
sent transmises par clavier. 

Expose de rinvention 

Le boitier securise qui fait Tobjet de Tinvention est caracte- 
rise en ce qu'il comporte une matrice tactile capacitive reliee d'une part 

15 par des fils de liaison a une carte de circuit imprime portant le controleur 
associe, un module de securite ainsi qu*une electronique sensible aux va- 
riations de la capacite du systeme, et prise d 'autre part en sandwich entre* 
dexix plaques de verre, a savoir une plaque de verre avant ou plaque de: 
protection et une plaque de verre arriere ou plaque de support. ? 

20 Selon rinvention on utilise done les proprietes des ecrans^* 

tactiles capacitifs, bien connus de ITiomme du metier, pour detecter la^ 
presence d'un dispositif exterieur fixe sur le clavier numerique, comme par 
exemple un faux clavier ou une substance deposee afin de marquer les 
touches enfoncees lors de la saisie du code confidentiel. 

25 Le clavier numerique est affiche au dessous des plaques de 

verre par un dispositif quelconque tel qu*ecran LCD, CRT, LED, autocol- 
lant, ... et est lu par transparence. 

Pour introduire son code confidentiel l*utilisateur touche 
avec ses doigts la plaque de protection au dessous de laquelle le clavier est 

30 affiche. 

Cette manipulation a pour consequence de changer locale- 
ment la capacite du systeme, ce qui permet au controleur de connaitre la 
position touch6e done de determiner le code confidentiel introduit. 

II s'agit la du fonctionnement classique d'lan ecran tactile 

35 capacitif. 

Pour que le systeme de securisation conforme a rinvention 
puisse fonctionner de mauiiere satisfaisante, il est bien entendu necessaire 
d'avoir determine lors d\xne etape d'etalonnage prealable n^se en oeuvre 
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pendant la fabrication du boitier, la capacite du systeme au repos (au re- 
pos signifiant qu'il n^ a aucun objet a cote ou sur I'ecran tactUe) au ni- 
veau des differents emplacements de la plaque de protection, 
correspondant aux differentes touches du clavier. 

La liste de ces valeurs de capacite est enregistree dans une 
memoire en tant que reference. 

Toute tentative de « masquage » du clavier dans un but 
frauduleux modifie la capacite du systeme. 

Par suite, en cours de fonctionnement les valeurs reelles de 
capacite sont constamment comparees aux valeurs enregistrees et toute 
deviation superieiire a un niveau de deviation autorise predetermine est 
interpretee comme indicative d^me fraude et declenche une alarme ou 
Tarret du systeme. 

Selon une autre caracteristique de I'invention, la carte de 
15 circuit imprime est situee a proximite immediate de la matrice tactile ca- 
pacitive et est recouverte par la plaque de protection. 

Cette caracteristique permet aux fils de liaison de la matrice 
tactile capacitive et de la carte de circuit imprime d'etre aussi courts que 
possible, ce qxii a poxir resultat d'interdire I'acces aux circuits ou transi- 
20 tent des donnees confidentielles non securisees. 

Selon une autre caracteristique de I'invention, la carte de 
circmt imprime et les composants electroniques fixes sior celle-ci sont 
noyes dans une r6sine cassante, notamment une resine epoxy. 

Cette caracteristique permet de garantir que les fils reliant 
les differents composants electroniques soient automatiquement brises en 
cas d'attaque physique, notamment de tentative de « poingonnage » des 
plaques de verre. 

Selon ime autre caracteristique de I'invention, la plaque de 
support est recouverte, sur sa face arriere, d\xne troisieme plaque de verre 
ou plaque de recouvrement se prolongeant au niveau de la face arriere de 
la carte de circuit imprime. 

La presence de cette plaque de recouvrement permet 
d'ameliorer la securisation de la carte de circuit imprime. 

Selon I'invention, la plaque de protection, la plaque support 
35 et le cas ech^ant, la plaque de recouvrement sont de preference realisees 
en un verre cassant. 
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Cette caracteiistique contribue a interdire a un intrus 
d'avoir acces a des donnees confidentielles non securisees en aval de la 
plaque de protection. 

En effet, toute tentative dans ce sens aurait pour conse- 
5 quence de casser les differentes plaques de verre et/ ou la resine cassante 
dans laquelle est noyee la carte de circuit imprime, et par suite 
d'endommager Telectronique du systeme et de detruire les donnees confi- 
dentielles qu'elle contient. 

Selon une caracteristique preferentielle de Tinvention, le 
10 boitier securise renferme un circuit de detection de fraudes comportant 
une source de tension, un conducteur electrique accole a une plaquesde 
verre, ainsi qu*un detecteur de courant associe a un organe d*alarme. 

Le conducteur electrique peut etre constitue par un long fil 
ou une metallisation d\ine plaque de verre en forme de boucle. 
15 Toute tentative d'acces aux parties sensibles du boitier se- 

curise (module de securite par exemple) entraine la fragmentation des pla- 
ques de verre et par suite la rupture du conducteur qui est 
immediatement detectee par le detecteur de courant et interrompt. 
Talimentation d\me memoire de sauvegarde de parametres de fonction- 
20 nement du clavier stockes lors de la fabrication. 

La detection de cette rupture entraine une alarme et avan- 
tageusement la desactivation du systeme. 

Selon une autre caracteristique particulierement avanta- 
geuse de Tinvention, le circuit de detection de fraudes est parcouru par un 
25 courant oscillant a haute frequence module en amplitude et en frequence 
de fagon a provoquer un brouillage des emissions electromagnetiques du 
systeme vis-a-vis de rexteriexir et a empecher ainsi toute tentative de lec- 
ture des signavix internes du systeme a Taide d*un recepteur haute fre- 
quence exterieur. 

30 Selon rinvention, on peut egalement prevoir d'autres orga- 

nes de securisation du boitier, pax exemple associer a Tecran un filtre op- 
tique standard connu en lui-meme de fa?on a permettre de redviire Tangle 
de vision sur lequel le clavier peut etre lu. 
Dessins 

35 Les caracteristiques du boitier securise qui fait Tobjet de 

rinvention seront decrites plus en detail en se referant aux dessins an- 
nexes dans lesquels : 
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- la figure 1 est une perspective « eclatee » schematique illustrant la 
configvuration du boitier securise ; 

- la figure la est un schema illustratif du mode dHitiHsation du boitier ; 

- la figure lb est un schema illustratif d*une tentative de fi-aude ; 

5 - la figure 2 est un schema representant le circmt de detection de frau- 
des. 

Description de modes de r6alisatioii 

Selon la figure 1, le boitier seciarisd 1 comporte une matrice 
tactile capacitive prise en sandwich entre deux plaques realisees en vm 
10 verre cassant a savoir wae plaque de protection 3 et une plaque de sup- 
port 5. 

La matrice tactile capacitive 2 est reliee par des fils de liai- 
son 6 a une carte de circuit imprime 7 portant le controleur associe, un 
module de securite 16 (figure 2) ainsi qu'une electronique sensible aux 
15 variations de la capacite du systeme. 

La carte de circuit imprime 7 et les composants electroni- 
ques fixes sur celle-ci sent noyes dans une resine epoxy cassante 8. 

Comme represente sur la figure 1, la carte de circuit impri- 
me 7 est situee a proximite immediate de la matrice tactile capacitive 2 et 
20 est recouverte par la plaque de protection 3 dont la longueur est supe- 
rieure a celle de la plaque de support 5. 

La plaque de support 5 peut le cas echeant etre recouverte 
sur sa face arriere opposee a la plaque de protection 3 par une troisieme 
plaque de verre non representee sur les figures, a savoir tine plaque de 
25 recouvrement se prolongeant au niveau de la face arriere de la carte de 
circuit imprime 7. 

Cette configuration permet de reduire au maximxam le trajet 
dans lequel transitent des donnees confidentielles non securisees apres 
leur introduction dans le boitier 1. 
30 En effet, a la sortie du boitier 1, ces donnees ont subi un 

cryptage leur evitant d'etre interceptees par un fraudeur. 

II est a noter que conformement a I'exemple de realisation 
represente sur les figures, la matrice tactile fonctionne selon la technologic 
classique des ecrans tactiles capacitifs projetes. 
35 Par suite la matrice tactile est constituee par \ine matrice 

de fins micro fils connectes au controleTir. 

Une frequence d'oscillation est assignee a chacun de ces 

micro fils. 
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Selon la figure la, pendant line utilisation normale, 
l*utilisateiir touche avec ses doigts la plaque de protection 3 au travers de 
laquelle le clavier est affiche par un dispositif d'afiichage 4. 

Le fait de toucher la plaque de protection 3 modifie la fre- 
5 quence d'oscillation des micro fils situes a ^emplacement correspondant. 

Cette modification qui est une fonction de la capacite du 
systeme permet au controleur fixe sur la carte de circuit imprime 7 de 
determiner a quel endroit la plaque de protection 3 et par suite Tecran 
projete a ete touche par l\itilisateur, et done de determiner le code confi- 
10 dentiel introduit. 

Lors d'une etape d'etalonnage prealable on a mesure la ca- 
pacite au repos au niveau de chaque croisement de fils de la matrice tac- 
tUe 7. 

La liste des valeurs ainsi mesurees est enregistree en tant 
15 que reference dans ime memoire 9 associee au module de securite 16 
d\ine fagon representee schematiquement sur la figure 2. 

Selon la figure lb, si un intrus applique sur la plaque de 
protection 3 un dispositif de « marquage » 10 tel que favix clavier ou. cou- 
che de poussiere a des fins frauduleuses, la capacite reelle du systeme est 
20 modifiee et cette modification est constatee par Telectronique de .icom- 
mande qui peut en reponse generer une alarme ou arreter le systemeiv 

Bien entendu, Tinvention pourrait etre transposee a de 
nombreuses autres technologies d^ecrans tactiles capacitifs sans pour cela 
sortie du cadre de celle-ci. 
25 Selon la figure 2, le boitier 1 renferme en outre un circuit de 

detection de fraudes 1 1 comportant essentiellement une source de tension 
12 ainsi qu\in conducteur electrique en forme de boucle 13 accole a la 
plaque de protection 3. 

Ce circTiit 1 1 renferme egalement un detecteur de courant 
30 14 associe a un organe d'alarme non represente. 

Une tentative d'acces aux parties sensibles du boitier, no- 
tamment a la carte de circuit imprime 7 a pour consequence de casser la 
plaque de protection 3 et par suite de rompre le conducteur 13 entrainant 
ainsi remission d'line alarme, et egalement la desactivation du systeme 
35 par suite de Teffacement de la memoire 9. 

Selon la figure 2, le circuit de detection de fraudes 11 est 
egalement equipe d'un dispositif de protection 15 permettant d^alimenter 
ce circuit en un courant oscillaint a haute frequence module en amplitude 
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et en frequence de faQon a provoquer un brouillage des emissions electro- 
magnetiques du systeme vis-a-vis de I'exterieur. 
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REVENDICATIONS 
l"") Bolder securise renfermant un clavier permettant dlntroduire des 
donnees confidentielles telles qu'un n"umero dldentification personnel 
destinees en particulier a un systeme de paiement electronique, 

5 caracterise en ce qu' 

il comporte une matrice tactile capacitive (2) reliee d'une part par des fils 
de liaison (6) a une carte de circuit imprime (7) portant le controleur asso- 
cie, un module de securite (16) ainsi qu'une electronique sensible aux va- 
riations de la capacite du systeme, et prise d'autre part en sandwich entre 

10 deux plaques de verre, a savoir une plaque de verre avant ou plaque de 
protection (3) et une plaque de verre arriere ou plaque de support (5). 

2°) Boitier securise selon la revendication 1, 
caracterise en ce que 
15 la carte de circuit imprime (7) est situee a proximite immediate de la ma- 
trice tactile capacitive (2) et est recouverte par la plaque de protection. (3). 

3**) Boitier secxirise selon Tune quelconque des revendications 1 et 2, 
caracterise en ce que 
20 la carte de circuit imprime (7) et les composants electroniques fixes sur 
celle-ci sont noyes dans une resine cassante, notamment ime resine epoxy 
(8). 

4*") Boitier securise selon Tune quelconque des revendications 1 a 3, 
25 caracterise en ce que 

la plaque de support (5) est recouverte sur sa face arriere d'une troisieme 
plaque de verre ou plaque de recouvrement se prolongeant au niveau de la 
face arriere de la carte de circuit imprime (7). 

30 5**) Boitier securise selon I'vine quelconque des revendications 1 a 4, 
caracterise en ce que 

la plaque de protection (3), la plaque de support (5) et le cas echeant la 
plaque de recouvrement sont realisees en un verre cassant. 

35 6"") Boitier securise selon I'lone quelconque des revendications 1 a 5, 
caracterise en ce qu' 
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il renferme un circiait de detection de fraudes (1 1) comportant lone source 
de tension (12), un conducteur electrique (13) accole a une plaque de verre 
(3) ainsi qu^in detecteur de courant (14) associe a un organe d'alarme. 

5 7") Boitier secvuise selon la revendication 6, 
caracterise en ce que 

le circuit de detection de fraudes (11) est parcouru par un courant oscil- 
lant a haute frequence modtd6 en amplitude et en frequence de fa?on a 
provoquer un broiiillage des emissions electromagndtiques du systeme vis- 
10 a-vis de I'exterieur. 
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(A foumir dans le cas oQ les demandeurs et 
les inventeurs ne sont pas les memes personnes) 

Cet Imprim^ est k remplir lisiblement a i'encre non^ 



N» 11235*03 



1.. 



08 »3 9 W/ 270601 



Vos r€f6rences pour ce dossier (facultaUJ) 




D'ENREGISTREMENT NATIONAL 





TITRE DE Lf INVENTION (200 earactdres ou espaces maximum) 

BoTtier sdcurisd renfermant un clavier permettant dintroduire des donnSes confidentlelles 



LE(S) DEMANDEUR(S) : 

TOKHEIM SERVICES FRANCE 



DESIGNE(NT) EN TANT QU'INVENTEUR(S) : 



Q Norn 


van de Kanner 


Pr6noms 


Johan 


Adresse 


Rue 


1»ruedespres 






Code postal et vide 


11 1 4 1 1 1 2 1 01 Mondevllle (France) 


Socl§t^ d'appartenance (facuUaHj) 




Q Norn 


Heesters 


Pr^noms 


Frans 


Adresse 


Rue 


Zeegstraat 50 




Code postal et ville 


1 i5 i5 i4 t1 1 EX REUSEL (Hollande) 


Societe d'appartenance (facuUalif) 




O Norn 




Pr^noms 




Adresse 


Rue 






Code postal et ville 


1 > I 1 1 1 


Soci§t6 d'appartenance (facuUaliJ) 




S'll y a plus de trols Inventeurs, utilisez plusieurs formulaires. Indiquez en haut ^ droits le N° de la page suivi du nombre de pages. 


DATE ET SIGNATURE(S) 

DU (DES) DEIVIANDEUR(S) 

OU DU MANDATAIRE 

(Nom et qualite du signataire) i 




01.07,2003 ^ / 

CABINET HERRBCiRGER ]/ 
Pierre HFRRBORGER 




CP! 92-1114 







La loi n'78-17 du 6 ^nvier 1978 relath/e h rinfbrmattque, aux fichfers et aux libert^s s*app!ique aux r^ponses faites k ce fbrmulaii^. 
Elle garantit un droit d'acc^ et de rectification pour les donn^es vous concemant aupr^s de I'lNPI. 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 



Defective images within this document are accurate representations of the original 
documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 



Ud BLURRED OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



BEST AVAILABLE IMAGES 



□ BLACK BORDERS 




□ IMAGE CUT OFF AT TOP, BOTTOM OR SIDES 

□ FA^ED TEXT OR DRAWING 



